Noticias de interés ver en http://www.metafilter.com/99673/25-years-of-computer-insecurity:
Han pasado 25 años desde que el
primer virus informático , y todavía no hemos aprendido la
lección. Es posible construir un sistema operativo que es a la vez
seguro y utilizable, al cambiar todo lo que uno suposición
fundamental. Es uno de los aspectos más frustrantes de la
computación, pero la mayoría de la gente no entiende el problema,
por lo que no puede evaluar adecuadamente la calidad de las
soluciones ofrecidas hasta la fecha.
Windows, Linux, Mac OS X, todos se basan en un modelo de seguridad
llamado "Permiso por defecto". Esto significa que a menos que algo
está bloqueado (por un detector de virus, por ejemplo), se les
permite correr.
Ahora, en la cara de ella, esta es la manera obvia de que
las computadoras deben trabajar. ¿Quién quieres que sea más difícil
de ejecutar un programa, después de todo, es nuestro equipo, y debe
hacer lo que queremos, ¿verdad?
Es cuando usted considera lo que el programa se le permite hacer,
que la situación empieza a ponerse interesante. Un programa de
computadora puede hacer cualquier cosa que se les permite hacer, en
su nombre. Si puede acceder a sus contraseñas, por lo que puede el
programa que acaba de lanzar ... si usted puede enviar un correo
electrónico, por lo que puede el programa que acaba de lanzar,
etc
Añadir complejidad a la situación aún más es el hecho de que hay
una serie de servicios de sistema en funcionamiento en un momento
dado que se supone que tienen privilegios más allá de lo permitido
normalmente por el usuario, y estos programas se puede inducir a
error en el mal.
Cualquier programa que se ejecuta se ejecuta increíblemente rápido,
y se puede tratar de hacer todo tipo de cosas en un abrir y cerrar
de ojos ... así que si hay algún agujero en la seguridad, que puede
aprovecharse sin necesidad de que te des cuenta. Esto te obliga a
tener que confiar en cualquier programa que se ejecuta para hacer
exactamente lo que dice que va a hacer.
En respuesta a los últimos 25 años, nos hemos acostumbrado a los
escáneres de virus, exploradores del spyware, cortafuegos, y
cualquier número de filtros para tratar de detener los programas de
malo, pero no funcionan a la perfección, y de hecho, nunca lo
harán.
Ahora hay literalmente miles de millones de ordenadores conectados
en red todos juntos, cada uno con su propio conjunto de
imperfectamente protegidos recursos explotables, un vasto
ecosistema, si se quiere, a la espera de ser explotado, y es
explotado. A nivel mundial, hay toda sistemas socioeconómicos que
se han desarrollado para explotar las debilidades de nuestros
ordenadores con ánimo de lucro.
El hecho de que nuestros filtros y cortafuegos son imperfectos nos
deja con una opción .... la seguridad o la facilidad de uso.
Creo firmemente que esta es una opción falsa, y no
hay una mejor manera.
Si el modelo de seguridad se da la vuelta 180 grados, a una
denegación predeterminada ... la seguridad se convierte en un
problema que puede resolverse. Yo lo llamo CABsec (Capacidad de la
base de seguridad), por lo que Google puede encontrar en el
futuro.
La base de CABsec es que en el momento de un programa o proceso se
va a ejecutar, una lista de capacidades se suministra con el
sistema operativo de la misma. Al igual que tenemos en nuestro
escritorio iconos que son accesos directos a programas, esta lista
podría ser igualmente suministrados y por defecto a un rango
razonable de las acciones. El usuario típico incluso no tienen que
ser conscientes de ello, en la mayoría de los casos.
Usabilidad no se ve afectada.
Cada proceso del sistema puede ser equipado de manera similar con
una lista de privilegios. No es necesario que un sistema de
archivos para acceder a Internet, por ejemplo ... lo que significa
el que no hay posibilidad de proceso del controlador de sistema de
archivos que induzcan a error al filtrar información a la Internet.
De manera similar, configurado correctamente los procesos del
sistema cada uno puede ser bloqueado para proporcionar seguridad a
prueba de balas.
Esto deja al usuario con un sistema que realmente puede hacer que
se cumpla las reglas de una manera segura, sin posibilidad de ser
interrumpido por una aplicación de delincuentes. El usuario dispone
de un sistema que podría permitir que especificar que el acceso de
contabilidad programa de una carpeta específica. El programa nunca
sería capaz de acceder a cualquier otra cosa (como el Internet por
ejemplo) ... por lo que sería independiente y segura.
Este sistema nunca se necesita un escáner de virus, porque nunca
confiaría en un programa, y por lo tanto un programa no podía ir
sin escrúpulos.
Un virus se encontraría como los griegos dentro de la búsqueda de
caballo de Troya que el caballo había sido sellado dentro de una
lámina de vidrio a prueba de balas ... que nunca pudo escapar a
hacer sus travesuras.
Es un proyecto grande para conseguir un sistema cabsec construido
... Pensé que ya habría ocurrido, ha habido indicios de si con
cosas como Midori de Microsoft, pero nunca resultan. Estoy haciendo
mi propia pedacitos de trabajo de promoción de las capacidades y al
privilegio. Espero que esto te deja con una mejor comprensión de lo
que se puede hacer, y una mejor forma de avanzar.
No hay comentarios:
Publicar un comentario